Seit Jahren steigen Cyberangriffe auf KMU und die Methoden von Kriminellen werden immer ausgefeilter. Dies stellt eine Herausforderung an die Anforderungen der IT-Sicherheit in Unternehmen dar. Zwei Experten verraten ihre besten Tipps für mehr IT-Sicherheit in KMU in 2023.
In diesem Artikel
Cyberangriffe sind eine lukrative Einnahmequelle für Cyberkriminelle. Der Anstieg von Unternehmen, die seit 2020 digital geworden sind, trägt noch dazu bei. Dazu kommt, dass Cyberkriminalität ständig im Wandel ist und Cyberangriffe mit den Jahren an Extravaganz und Professionalität zugenommen haben und auch immer häufiger KMU ins Visier nehmen. Ein Zeichen des cyberkriminellen Fortschritts ist auch der vermehrte Einsatz von KI als Waffe gegen Unternehmen. Ein Grund für den Anstieg von Angriffen auf KMU kann sein, dass diese oft glauben, aufgrund ihrer Größe und begrenzten Finanzmittel als Ziel uninteressant zu sein und sich deswegen nicht besonders schützen müssen. Genau diese Denkweise ist es jedoch, was sie zum perfekten Ziel für Kriminelle macht. Als Resultat haben sich die Anforderungen an die IT-Sicherheit und das IT-Management im Mittelstand in den letzten Jahren stark gewandelt.
Welche IT-Sicherheitsbedrohungen sollten Unternehmen in 2023 besonders im Auge behalten? Wir haben zwei Experten im Bereich IT-Sicherheit gefragt, welche Bedrohungen sie als besonders relevant einstufen, worin die Gefahr für KMU besteht und welche Maßnahmen Unternehmen in der IT-Sicherheit ergreifen können, um der Bedrohung zu begegnen.
- Maximilian Becker, IT-Consultant für den Bereich Sicherheit bei TheUnified, der Security Brand der TKUC Gruppe, die Dienstleistungen und Lösungen rund um die IT-Sicherheit anbietet. Seine Schwerpunkte umfassen Endpunktmanagement/ -sicherheit, Awarenessschulungen, MFA, Pentesting und Risiko Assessments.
- Dr. Jürgen Kohr, Geschäftsführer der TÜV TRUST IT GmbH - TÜV Austria Group. Er befasst sich intensiv mit den Themen Cybersicherheit, Cyberresilience, Informationssicherheit und Data Intelligence.
Was ist IT-Sicherheit im Unternehmen?
IT-Sicherheit bezeichnet den Schutz von Informationen und deren Verarbeitung. Sobald ein Unternehmen digital wird, muss es über eine Strategie, Methoden, Lösungen und/oder Tools verfügen, welche die Vertraulichkeit, Verfügbarkeit und Integrität von Daten gewährleisten. Dazu zählen der Schutz der Hardware wie der Festplatte und des Arbeitsspeichers eines Computers, der Schutz von Software-Anwendungen sowie des Netzwerks.
Das Ziel ist es, Cyberbedrohungen und -angriffe zu erkennen und im Idealfall abzuwehren. Im Falle einer erfolgreichen Cyberattacke soll die IT-Sicherheit im Unternehmen die Auswirkungen eindämmen und beheben.
IT-Sicherheit: Beispiele
Es gibt eine ganze Reihe an IT-Sicherheitsmaßnahmen, die kleine und mittelständische Unternehmen umsetzen können. Einige Beispiele sind:
- Zugriffsschutz: Nur bestimmte Befugte haben Zugang zu bestimmten Informationen.
- Authentifikationsverfahren: Hierbei wird mit der Erbringung eines oder mehrerer Nachweise wie dem Benutzernamen und Passwort oder der Zwei-Faktor-Authentifizierung bestätigt, ob es sich tatsächlich um den Nutzer mit der behaupteten digitalen Identität handelt.
- Backup-Strategie: Die automatisierte Datensicherung liefert die grundlegendste Form, Daten wiederherzustellen, indem sie als Sicherheitskopien auf einem oder mehreren externen Speichermedien gesichert werden.
Diese IT-Sicherheitsbedrohungen nehmen Experten zufolge in 2023 an Relevanz zu
Ransomware-Angriffe
Ransomware ist eine Art von Cyber-Erpressung, bei der ein böswilliger Akteur in eine Umgebung eindringt und Dateien verschlüsselt und exfiltriert, so dass der Zugriff verweigert und die Offenlegung angedroht wird, es sei denn, das Opfer zahlt ein Lösegeld. Bekannte Namen von Ransomware sind CryptoLocker, CryptoWall, TeslaCrypt, Locky, WannaCry27.
Ransomware-Angriffe gibt es bereits seit über zehn Jahren und sind damit kein neuer Trend. Umso aussagekräftiger ist es, wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ransomware in seinem Lagebericht von 2022 als Hauptbedrohung besonders für Unternehmen ausweist.
Ransomware-Attacken dürften zu den gefürchtetsten Bedrohungen für die IT-Sicherheit eines Unternehmens zählen, in manchen Fällen mit verheerenden Auswirkungen. In unserer Ransomware-Umfrage für 2022 fanden wir heraus, dass 52 % der befragten Unternehmen schon einmal Opfer eines Ransomware-Angriffs waren. 55 % dieser Unternehmen nannten die verlorene Zeit und Produktivität als problematischste Auswirkung der Attacke, gefolgt von Datenverlust sowie dem finanziellen Verlust, Rufschädigung und nicht zuletzt dem Verlust von Kunden.
Auch Jürgen Kohr stuft die Gefahr durch Cyberangriffe mittels Ransomware als akut ein.
Auch Maximilian Becker äußert sich zustimmend: „Kleine und mittelständische Unternehmen sind ein immer häufigeres Ziel von Ransomware-Angriffen. Ein Grund hierfür ist, dass sie selten über die gleichen Ressourcen verfügen, um ihre IT-Sicherheit auf das Niveau zu bringen wie größere Unternehmen. Außerdem haben sie oft nicht die gleichen finanziellen und personellen Ressourcen, um ihre IT-Systeme und -Infrastruktur zu pflegen und zu sichern.”
Neben den finanziellen Einbußen, die eine Lösegeldforderung mit Ransomware nach sich ziehen, fallen häufig auch Kosten an, um Systeme wiederherzustellen und Ausfallzeiten zu kompensieren, da die Malware den Zugang zu Daten oder kompletten Systemen verschlüsselt und somit wichtige Betriebsprozesse stört oder sogar ganz lahmgelegt. „Das bedeutet für ein KMU, dass es zum Beispiel nicht mehr produzieren, keine Aufträge annehmen oder abwickeln und/oder keine Rechnungen mehr schreiben kann,” erklärt Kohr.
Eine weitere, mitunter schlimmere Folge von Ransomware-Attacken ist der Reputationsverlust, den Unternehmen erleiden können, da er existenzbedrohend ausfallen kann.
Zudem hat ein Ansatz in den vergangenen Jahren an Popularität unter Cyberkriminellen gewonnen, mit dem Ransomware noch weiter verbreitet und monetarisiert werden kann: Ransomware-as-a-Service (RaaS). Damit müssen Cyberkriminelle nicht mehr selbst über das nötige Know-how verfügen, um einen erfolgreichen Ransomware-Angriff umzusetzen, sondern können sich von Entwicklern der Malware maßgeschneiderte Ransomware-Attacken zusammenstellen lassen. Vorausgesetzt, sie besitzen das Kapital und die richtigen Verbindungen.
Künstliche Intelligenz (KI)
Künstliche Intelligenz (KI) wendet fortschrittliche Analyse- und logikbasierte Techniken, einschließlich maschinellen Lernens, an, um Ereignisse zu interpretieren, Entscheidungen zu unterstützen und zu automatisieren und Maßnahmen zu ergreifen.
Die Künstliche Intelligenz (KI) ist schon lange ein zentrales Thema in Science-Fiction-Büchern und -Filmen. Wer kennt nicht Terminator, Metropolis, Ex Machina oder die Avengers. Die Idee vom Geist in der Maschine ist nicht neu.
Natürlich muss zwischen Science und Fiction unterschieden werden, aber klar ist, dass wir heute bereits von KI umgeben sind. Sie steckt unter anderem in Smartphones, in Musik- und Videostreaming-Plattformen, Sprachassistenten, Sprachübersetzung und Navigationssystemen. KI wird also von vielen Unternehmen dafür entwickelt, um das Leben der Menschen zu erleichtern und zu verbessern.
Die Schattenseite der Technologie ist, dass KI in Verbindung mit Cyberangriffen eine Gefahr für Unternehmen darstellen kann, da sie ermöglicht, Angriffe zu skalieren, automatisieren und schneller auszuführen. Aus diesem Grund sieht Maximilian Becker die Verwendung von KI als aufkommende IT-Sicherheitsbedrohung in 2023.
Zahlreiche Wissenschaftler und andere Experten, darunter Persönlichkeiten wie Stephen Hawking und Elon Musk, warnen immer wieder vor den Gefahren und dem Missbrauchspotenzial der KI. Während Schreckensszenarien wie das Ende der Menschheit (Artikel in Englisch) noch eher in die Welt der dystopischen Zukunftsfantasien gehört, kann und wird KI unzweifelhaft von Cyberkriminellen für ihre Zwecke genutzt.
Maximilian Becker schildert verschiedene Szenarien, in denen KI dazu benutzt werden kann, um die IT-Sicherheit in Unternehmen anzugreifen: „Künstliche Intelligenz kann dazu verwendet werden, Phishing-E-Mails und andere Arten von Social-Engineering-Angriffen zu generieren, die für menschliche Empfänger schwer zu erkennen sind. Cyberkriminelle können KI ebenfalls dafür nutzen, Schwachstellen in Infrastrukturen aufzuspüren und auszunutzen, die von menschlichen Bedrohungen nicht entdeckt werden könnten.”
Nachfolgend gehen wir auf die Hauptgründe ein, die den Mittelstand laut unserer beiden Experten in 2023 zum besonders attraktiven Ziel für die oben erwähnten IT-Sicherheitsbedrohungen machen.
Warum sind immer öfter KMU betroffen?
Versucht man, wie ein Cyberkrimineller zu denken, könnte man schnell zum Schluss kommen, dass Großkonzerne die idealen Opfer für einen Angriff darstellen. Immerhin ist dort sowohl finanziell als auch datenbezogen am meisten zu holen. Die Realität sieht jedoch anders aus und der Mittelstand wird zunehmend Ziel von Cyber-Attacken, wie auch das BSI bestätigt. Die potenziellen Gründe dafür sehen wir uns jetzt näher an.
Irrglaube, für Cyberkriminelle uninteressant zu sein
Es gibt viele Anreize für Kriminelle, kleine und mittelständische Unternehmen ins Visier zu nehmen. Nicht zuletzt auch die Tatsache, dass die Digitalisierung von Unternehmen seit Beginn der Pandemie 2020 rapide beschleunigt wurde. So waren unserer Umfrage zufolge 37 % der KMU, die bereits einen oder mehrere Ransomware-Angriffe erlebt haben, vor der Pandemie davon betroffen gewesen, 56 % dagegen seit Beginn der Pandemie.
Jürgen Kohr sieht vor allem die fehlende Sensibilisierung von Entscheidungsträgern gegenüber der Gefahr, Opfer von Angriffen zu werden, als Grund dafür, dass die Zahl der Cyber-Attacken steigt.
Weniger Medienaufmerksamkeit
Es gilt immer noch als Stigma, Opfer eines Ransomware-Angriffs zu werden. Das ist insofern verständlich, als dass ein Unternehmen schnell mit all seinen Schwachstellen ins Licht der Öffentlichkeit geraten kann, wenn bekannt wird, dass es von einer Ransomware-Attacke betroffen ist. Darüber hinaus bedeuten diese Attacken auch Ausfallzeiten, Umsatzeinbußen und einen immensen Imageverlust. Keine dieser Folgen lassen Firmen vertrauenswürdig und kompetent erscheinen.
Deswegen verschweigen viele Unternehmen, dass ihre IT-Sicherheit überwunden wurde, anstatt den Angriff an die zuständigen Behörden zu melden, und zahlen im Stillen die geforderte Summe, in der Hoffnung, den drohenden Imageschaden abzuwenden. Das stellt einen großen Ansporn für Cyberkriminelle dar, die aufgrund dieser Haltung mit nur wenig Widerstand rechnen.
Weniger Ressourcen
KMUs sind oft Ziel von Angreifern, da sie normalerweise weniger Ressourcen in die IT-Sicherheit investieren als größere Unternehmen und daher meistens leichter zu hacken sind. „Angreifer nutzen dies aus, um sensible Daten wie Kunden- oder Finanzdaten zu stehlen und verschlüsseln”, schlussfolgert Becker. „Danach wird versucht, Lösegeld zu erpressen bzw. mit Veröffentlichung gedroht.”
Unzureichende Schulung
Mitarbeiter von KMU haben oft weniger Schulungen und Erfahrung im Umgang mit Cyber-Bedrohungen als Mitarbeiter von großen Unternehmen. Dies erhöht das Risiko von menschlichen Fehlern, die von Angreifern ausgenutzt werden können.
Fehlendes Know-how im Ernstfall
Die meisten Unternehmen haben keinen Notfallplan / -team / -partner, der im Ernstfall die richtigen Entscheidungen trifft und Prozesse in Gang setzt. Durch fehlendes Know-how und fehlende Erfahrung werden falsche Entscheidungen getroffen und möglicherweise falsch auf Vorfälle reagiert.
Maßnahmen für IT-Sicherheit: 6 Tipps für KMU
Nachdem wir uns zwei IT-Sicherheitsbedrohungen angeschaut haben, auf die Unternehmen in diesem Jahr besonders achten sollten, und unsere Fachexperten in Sachen IT-Sicherheit in Unternehmen einige Gründe dafür vorgestellt haben, warum sie insbesondere den Mittelstand betreffen, wollen wir wissen, was KMU tun können, um diesen IT-Sicherheitsbedrohungen zu begegnen. Jürgen Kohr und Maximilian Becker bieten sechs Tipps, mit denen sich kleine und mittelständische Unternehmen wirksam gegen potenzielle Schadeinwirkungen schützen können:
1. Awareness-Schulungen
Der größte Risikofaktor für die IT-Sicherheit in Unternehmen sei und bliebe der Mensch, so Becker. Professionelles Social Engineering wie zum Beispiel das Senden von Phishing-Mails ist unter Angreifern sehr beliebt, weil die Erfolgsquote enorm hoch ist. „Unternehmen profitieren daher davon, ihre Mitarbeiter durch regelmäßige Awareness-Schulungen sowie Test-Phishing-Mails zu trainieren, damit diese nicht aus Versehen eine E-Mail mit Schadcode öffnen,” erklärt Kohr.
2. Schutzschild KI
KI lässt sich nicht nur als Angriffswaffe von Cyberkriminellen einsetzen, sondern auch als Schutzschild in der Abwehr. Sie ermöglicht es, große Datenmengen zu analysieren und Gefahren in Echtzeit zu identifizieren. Skalierbarkeit sei ein weiteres wichtiges Merkmal von KI-Systemen in der Cybersecurity, so Becker. Sie seien in der Lage, große Datenmengen schnell und effizient zu verarbeiten, was es ermögliche, auch in großen Netzwerken eine hohe Sicherheit zu gewährleisten.
3. Cyber-Hygiene
Die Cyber-Hygiene ist ebenfalls ein wichtiger Bestandteil der Vorsorgemaßnahmen in der IT-Sicherheit. Dazu zählt laut Becker, dass Unternehmen alle IT-Systeme inklusive der installierten Software und die darin enthaltenen Schwachstellen kennen müssen. „In der Praxis sieht es leider häufig so aus, dass 10 -20 % der Systeme nicht gemanagt werden, Schwachstellen nicht bekannt sind und Systeme nicht oder sehr spät gepatcht werden. Hier ist ein Umdenken bei den Verantwortlichen notwendig.”
4. Backups
Wenn Angreifer doch einmal einen Weg ins System gefunden haben, muss ein Unternehmen nicht hilflos dastehen. Kohr empfiehlt: „In erster Linie ist hier das regelmäßige Erstellen von Backups wichtiger Unternehmensdaten eine große Hilfe.” Damit diese nicht auch verschlüsselt werden können, dürfen Backups aber auf keinen Fall mit dem Firmennetzwerk verbunden sein.
5. Endpointprotection und Zero-Trust
Becker nennt die Enpointprotection als weiteren wichtigen Faktor, der einen präventiven Schutz vor bekannten und unbekannten Angriffsmustern bietet. Sie soll die verschiedenen Endgeräte in einem Netzwerk vor diversen Bedrohungen schützen und den Zugriff auf Geräte durch Unbefugte oder die Ausführung von Schadsoftware verhindern. „Ergänzt werden sollte dies durch einen Zero-Trust Ansatz”, ergänzt Becker. „Eine Mikrosegmentierung verhindert, dass ein Angreifer sich frei im Netz des Kunden bewegen kann.”
6. Business Continuity Management System (BCMS)
Nicht zuletzt legt Kohr jedem KMU nahe, ein Business Continuity Management System (BCMS) zu etablieren, um wichtige Prozesse im Angriffsfall möglichst schnell wieder ans Laufen zu bringen.
